+420 608 133 557
info@jakubvytiska.cz

Instalace Let’s Encrypt

//Instalace Let’s Encrypt

Instalace Let’s Encrypt

S koncem roku jsem se rozhodl na naše servery nainstalovat Let’s Encrypt. Na začátku byly obavy, ale je to opravdu velmi jednoduché. Tak v bodech:

Je potřeba si uvědomit některé úskalí…

  1. Jedná se o Beta verzi. Nicméně dle implementace i u jiných hostingových služeb bych v tom neviděl zásadní problém
  2. Certifikáty jsou prozatím vystavovány na 90 dnů, je tedy nutné je častěji aktualizovat (pravděpodobně je možnost nějakého cron scriptu, případně doplním)
  3. Instalace je zde popsána pro systém Debian a Apache (pro jiný systém a ngix by nemělo jít o větší problém. Mrkněte na https://letsencrypt.readthedocs.org/en/latest/intro.html

Postup instalace:

  1. je potřeba stáhnout z Gitu balíček aktuální verzi
root@webserver:~$ git clone https://github.com/letsencrypt/letsencrypt
  1. nainstalovat letsencrypt včetně všech závislostí
root@webserver:~$ cd letsencrypt
root@webserver:~/letsencrypt$ ./letsencrypt-auto --help all
  1. Nyní máte dvě možnosti, jak vygenerovat certifikát k nějaké doméně
  • přímou definicí daných domén
root@webserver:~/letsencrypt$ ./letsencrypt-auto --apache -d jakubvytiska.cz
-d www.jakubvytiska.cz

pokud budete poprvé generovat certifikát, budete ještě vyzvání na zadání kontaktního emailu pro celou správu Let’s Encrypt na serveru

  • GUI s výběrem domén
root@webserver:~/letsencrypt$ ./letsencrypt-auto
  1. Po vygenerování certifikátu budete upozorněni na jejich uložení. Standardní cesta je /etc/letsencrypt/live/jakubvytiska.cz. Tím pádem Vás čeká poslední krok s definováním cesty k certifikátu VHOSTu. Tedy například:

SSLCertificateFile /etc/letsencrypt/live/jakubvytiska.cz/cert.pem
SSLCertificateKeyFile /etc/letsencrypt/live/jakubvytiska.cz/privkey.pem
SSLCertificateChainFile /etc/letsencrypt/live/jakubvytiska.cz/fullchain.pem

To je vše (po restartu apache) 🙂 Nyní stačí jen ohlídat případné již použité URL a externí zdroje, které používáte na webu a máte zelený řádek. Pokud někde objevím zajímavý skript na automatické obnovování, tak jej sem doplním, prozatím jsem našel pouze automatické odesílání emailu před expirací, nebo variantu vložení obnovovacího příkazu do cron úlohy (nevyzkoušeno).

crontab –e

@monthly /your_path/letsencrypt/letsencrypt-auto --config /etc/letsencrypt/cli.ini -d yourdomain.com -d www. yourdomain.com certonly && service apache2 reload

Content of cli.ini:
authenticator = webroot
webroot-path = /var/www/
server = https://acme-v01.api.letsencrypt.org/directory48
renew-by-default
agree-dev-preview
agree-tos
email = postmaster@yourdomain.com

S pozdravem
Ing. Jakub Vytiska

By | 2017-03-05T22:48:44+00:00 30. Prosinec, 2015|Webhosting|0 Comments

Leave A Comment

eighteen − 13 =